Fecha de publicación: 07/07/2022
Importancia:
Crítica
Recursos afectados:
- OpenSSL 3.0.4
- OpenSSL 1.1.1
- OpenSSL 3.0
Descripción:
OpenSSL ha informado de varias vulnerabilidades descubiertas por los investigadores Xi Ruoyao y Alex Chernyakhovsky las cuales podrían permitir una ejecución remota de código en la máquina afectada.
Solución:
OpenSSL ha publicado las siguientes versiones para corregir estas vulnerabilidades:
- OpenSSL 3.0.5
- OpenSSL 1.1.1q
Detalle:
La vulnerabilidad más grave afectaría únicamente a la versión OpenSSL 3.0.4 y se produce por un error grave en la implementación RSA para procesadores con CPU X86_64 y compatibles, debido a una implementación incorrecta de las instrucciones AVX512IFMA en el algoritmo RSA al procesar las claves privadas de 2048 bits, causando corrupción de la memoria en el sistema afectado y permitiendo a un atacante desencadenar una ejecución remota de código. Se ha asignado el identificador CVE-2022-2274 para esta vulnerabilidad.
OpenSSL también ha informado de otra vulnerabilidad menos grave corregida el 5 de julio y corregido en las versiones 1.1.1q y 3.0.5 que permitiría revelar dieciséis bytes en el modo AES OCB al utilizar el ensamblado AES-NI para cifrar los datos. Se ha asignado el identificador CVE-2022-2097 para esta vulnerabilidad.
Etiquetas:
Actualización, Comunicaciones, Privacidad, SSL/TLS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.